Can't enable virtual webservers due to AD SSO

I'm guessing that this is a home-use situation and that you have only a single public IP.  If that's not the case, I might do this differently.

With a single IP, the only way a DNAT can separate traffic is by changing ports.  In any case, the port on the camera doesn't need to change as each DNAT can change 1234x to 80 and route the traffic correctly.

With the reverse proxy no port changing is needed as the FQDN is examined to determine which Virtual Server it qualifies for.  Make a Real Server for camera 1 and then a Virtual Server using it with cam1.domain.tld in 'Domains', etc. for the other two.  In public DNS for domain.tld, just assign the same IP for cam1, cam2 and cam3.  In your Windows Server DNS, create a Forward-Lookup Zone for domain.tld and assign the actual internal IP to cam1, cam2 and cam3.  Is that what you were looking for?

Cheers - Bob

Hi, Bob,

Thank you for the quick response!  Yes, you are correct; this is a Home-Use situation with a single public IP.

I changed the ports on the cameras, because it was the quickest way to get all the cameras working with the same profile on both internal and external clients.

I have four real servers; e.g. cam1, cam2, cam3, and webserver. I also have four virtual servers; e.g. cam1.dom.tld -> cam1, cam2.dom.tld -> cam2, cam3.dom.tld -> cam3 and *.dom.tld -> webserver.

In public DNS, I have one (A) record pointing to my single IP; UTM dynamically updates the (A) record.  All my other hosts are CNAMES pointing to my (A) record.  My internal Windows DNS has (for example) cam1.dom.tld (A) 192.168.1.1, cam2.dom.tld (A) 192.168.1.2, cam3.dom.tld (A) 192.168.1.3 and www.dom.tld (A) 192.168.1.4.

I don't pass host headers or use (for now) any firewall profile for the cameras (I do both for the web server).

If I correctly understood your suggestion, then that's exactly what I've done (with the exception of using custom camera ports).  I would like to reset my camera ports to TCP/80 and remove the DNAT rules from the equation.  The problem is that the WAF complains about the port being in use by AD SSO.

Did I misunderstand your suggestion?  Any idea what I might be doing wrong (or completely missing)?

Best regards,
Edgar

Quick question, what version of UTM are you running?  There were a couple of early v9.2X releases that had this issue.  See Note for UTM v9.200/9.201  at https://www.sophos.com/en-us/support/knowledgebase/120791.aspx.  If you are running something newer, it may be a regression bug.

Thanks, Scott,

I'm running UTM firmware version 9.350-12.  Thanks for the link.  Unfortunately, I didn't try my desired end state prior to version 9.350, so I don't know if it would've ever worked; however, it seems that you may be right, as the article describes my exact symptoms.

I will try to figure out how to report the problem to Sophos for further testing.

Best regards,
Edgar

Web Protection -> Filtering Options -> Misc -> Only perform AD SSO for requests on these interfaces.

Add your LAN interface (Address) only.

Nice Vilic.  I'd completely forgotten that was added.

Thanks, Vilic,

That allowed me to enable the virtual webserver!  I changed the port on cam1 to TCP/80, changed the mobile client to connect to the camera on port 80 and was able to successfully connect.

Best regards,
Edgar

Hmm  Let's assume that my camera hostname is cam01.domain.tld.  I found this in the web application firewall log:

2015:10:26-15:12:54 utm reverseproxy: AH00112: Warning: DocumentRoot [/var/www/REF_RevFroCam01domai] does not exist

Assuming it might be related to why I can't connect to the camera from the outside, does anyone know how I can fix this?